© 2013 Dependable Embedded OS R&D Center

D-Caseの実証評価の取り組み

山本修一郎 DEOS Project, 名古屋大学

11.22 , ET2013

(2)

© 2013 Dependable Embedded OS R&D Center

主な話題

DEOSにおけるD-Caseの位置づけ

パターンライブラリの構成

適用事例

今後の展開

(3)

© 2013 Dependable Embedded OS R&D Center

D-CASEの位置づけ

(4)

© 2013 Dependable Embedded OS R&D Center

DEOSプロセスとD-Case, D-Script

障害対応サイクル

変化対応サイクル

テスト 検証 設計 実装 ステークホルダ合意

要求抽出・ リスク分析

合意形成 開発 障害対応

D-Case D-Script

合意記述データベース

通常 運用

予兆検知・ 障害発生

目的変化・ 環境変化

説明責任遂行

原因究明

迅速対応

未然回避

(5)

© 2013 Dependable Embedded OS R&D Center

D-Caseの例（システム参照モデル分解パターン）

前提

主張

戦略

証拠

(6)

© 2013 Dependable Embedded OS R&D Center

D-Caseの全体構成例

要件定義

設計

製造

試験

サービス戦略

要件定義 D-Case

設計D-Case

製造D-Case

試験D-Case

サービス戦略D-Case

開発D-Case

運用D-Case

開発 プロセス

運用 プロセス

サービス設計

サービス移行

サービス運用

継続的サービス改善

サービス設計D-Case

サービス移行D-Case

サービス運用D-Case

サービス改善D-Case

DEOSプロセス DEOS D-Case DEOS プロセスD-Case DEOS プロセス

プロセス D-Case

(7)

© 2013 Dependable Embedded OS R&D Center

D-CASEパターンライブラリ

(8)

© 2013 Dependable Embedded OS R&D Center

D-Caseパターンの構成

説明対象 D-Case 説明

既存D-Case

証拠文書

証拠分解

対象の表記法 対象が持つ共通構造

対象分解 参照モデル分解

条件分解 推論分解

再分解

D-Script 迅速対応

運用監視

(9)

© 2013 Dependable Embedded OS R&D Center

議論分解パターンの分類

分類 説明

対象分解 対象物の構成に基づいて主張を分解

条件分解 対象条件に基づいて主張を分解

参照モデル分解 参照モデルに基づいて主張を分解

推論分解 背理法や帰納法によって主張を分解

証拠分解 主張を証拠によって分解（説明）

再分解 既存のD-Caseを用いて主張を分解

(10)

© 2013 Dependable Embedded OS R&D Center

パターンライブラリの構成

パターン 分類 説明

記述法 15

アーキテクチャ, 機能, 属性, 完全化, プロセス, プロセス依存関係 , 階層化, データフロー図, ビュウ, ユースケース, 要求, 状態遷移, 運用要求, シーケンス図, ビジネスモデル

参照モデル 11

DEOS プロセス,リスク, 組み込みシステム, コモンクライテリア, 要求テンプレート, システム境界, 欠陥モード, 非機能要求グレード, テストケース, 問題フレーム,ITILプロセス

条件 7

ECA, 条件判断, 代替案選択 , 矛盾解消, 平衡化, 改善, 明確化

推論 5

帰納法, 消去法, 否定推論, 反駁

証拠 11

法制度, 形式的証明, モデル検査, 試験成績書, 合意文書, レビュ報告書, シミュレーション, 評価報告書, 説明書, モニタノード, 文書

再利用 2

水平分解、垂直分解

注）モニタノードにD-Scriptを対応付けることにより、監視条件からの逸脱に迅速対応

(11)

© 2013 Dependable Embedded OS R&D Center

完全分解パターンの例

すべてのリスクごとに、下位の主張に分解

(12)

© 2013 Dependable Embedded OS R&D Center

属性分解パターンの例

(13)

© 2013 Dependable Embedded OS R&D Center

ユースケース分解パターンの例

(14)

© 2013 Dependable Embedded OS R&D Center

条件選択分解パターンの例

(15)

© 2013 Dependable Embedded OS R&D Center

矛盾解決分解パターンの例

(16)

© 2013 Dependable Embedded OS R&D Center

代替案比較分解パターンの例

(17)

© 2013 Dependable Embedded OS R&D Center

組み込みシステム参照モデル分解パターンの例

(18)

© 2013 Dependable Embedded OS R&D Center

セキュリティCC分解パターンの例

(19)

© 2013 Dependable Embedded OS R&D Center

ITILプロセス分解パターンの例

(20)

© 2013 Dependable Embedded OS R&D Center

帰納推論分解パターンの例

(21)

© 2013 Dependable Embedded OS R&D Center

D-CASE適用事例

(22)

© 2013 Dependable Embedded OS R&D Center

実証評価研究会

http://www.dcase.jp/

(23)

© 2013 Dependable Embedded OS R&D Center

D-Case活用事例

分野 事例 適用組織

自動車 エンジン制御開発への適用 石崎 直哉氏 （トヨタ）

衛星 超小型人工衛星への適用 田中康平氏(NESTRA)

ロボット ロボットの衝突安全性保証 加賀美 聡 氏(産総研)

ロボット ETロボコンへの適用 伊東 敦 氏 (富士ゼロックス)

ロボット ETロボコン要件定義 宇都宮 浩之氏（デンソークリエイト）

ポータル 非機能要件保証 名古屋大学

ビジネス 受入テスト十分性保証 名古屋大学

(24)

© 2013 Dependable Embedded OS R&D Center

ｴﾝｽﾄ D-Case 例

トヨタにおけるｴﾝｽﾄ評価・開発のﾌﾟﾛｾｽをD-Caseに実装

石崎 直哉氏

(25)

© 2013 Dependable Embedded OS R&D Center

超小型人工衛星への適用例

1. 保証範囲を定義

2. アシュアランスケースを記述

3. 記述結果をチェック

システムエンジニアリング

のV-modelに沿って，

段階的にアシュアランスを記述

田中康平氏

(26)

© 2013 Dependable Embedded OS R&D Center

ロボットの衝突安全性保証例

加賀美 聡 氏

(27)

© 2013 Dependable Embedded OS R&D Center

ETロボコンへのD-Case導入効果例

要求から要素技術とその検証結果まで容易に辿れる

ドリフトターン

ポイントごとに検討走行戦略：ターン経路をソナーで決めて、旋回、直進でペットボトル間を通過する(P4)

前提条件：直進、旋回性能が高いため3点倒立走行をする

ターン経路検知

誤った位置でドリフトを開始しない

直進してペットボトル間を走行できるよう旋回できる

旋回位置まで正確に直進できる

リスク対策を検討

ターン経路探索時にペットボトルの位置を誤解しない

ソナー指向性実験結果

停車すべき位置への停車率の検証結果

指定した旋回角精度の検証結果

走行距離精度の検証結果

ドリフト走行

リスク対策を検討

E8

階段 前提条件：・階段をのぼる際にはバランスを保ちやすいため3点倒立走行をする

走行戦略：階段のぼりは3点倒立走行、90度ターンはライントレースで通過する(P4)

ポイントごとに検討

階段のぼり 90度ターン 階段くだり

リスク対策を検討 リスク対策を検討 リスク対策を検討

直進しても脱輪しない角度で階段をのぼれる

階段をのぼるときに

バランスを崩さない

速度不足で段差をのぼれない

垂直入射の検証結果 よいしょのぼり

の検証結果

必要速度の検証結果

急旋回して走行路を保てる

設定P係数と旋回成功率の検証結果

階段をおりるときにバランスを崩さない

2輪走行の走行成功率

階段をおりた後に走行路を見失わない

階段通過後のライン復帰成功率

E11

E12

E13

シーソー

前提条件：・シーソー上での3点倒立走行は転倒のリスクが高いため2輪走行をする・シーソーダブルをクリアする

走行戦略：2輪で走行し、シーソーの傾きに応じてジャイロ補正して走行体をブレーキする(P4)リスク対策を検討

直進しても脱輪しない角度でシーソーにのぼれる

シーソー接地の衝撃に耐えられる

設定ジャイロ値と接地成功率の検証結果

進入角度と成功率の検証結果

指定距離で停車してシーソーから落下しない

走行距離精度の検証結果

シーソーに乗り上げたことを判断できる

衝撃検知の検証結果

E15 E14

ステートマシン図(P3)

効率化の方針ごとに検討

開発者ごとの作業量を軽減 手戻りを防ぐ

実現手段を検討

バグを発生させない

設計図を検証できる

設計図からコードを自動生成できる

BridgePointによるコード自動生成率

DSLでの走行戦略コード生成時間改善率

モデル検査によるステートマシン/タスクスケジューリングの網羅検証結果

UT報告書

Verifierによるフレームワークの設計検証結果

コード解析結果

単体テストを自動化して機能拡張時のテスト時間を削減できる

イタレーション開発で走行体を理解しながら要件を獲得できる

UT報告書（テスト実行回数）

要件管理表

WBS

実現手段を検討

修正の度に単体テストできる

実現手段を検討

ドメインを分割して並行に分担作業できる

ドメイン分析結果

クラス図(P2)

タスク設計(P3)

WBS

効率的な開発

E2E3

E4

E5

E6

時間をかけずに総合優勝する

目標要素ごとに検討

総合優勝

評価要素ごとに検討

モデルでエクセレント

走行で優勝

記載を省略優勝するための要素ごとに検討

効率的な開発

難所ごとに検討

ボーナスステージで最高タイムを獲得

リタイアしない

短い時間で走行

階段シーソールックアップゲート

ドリフトターン

ガレージイン

短い時間で走行

実現方針を検討

できるだけ最速（3点倒立走行で最大前進値）で走行

最短経路で走行

実現手段を検討

カーブで外輪は最大速度で内輪は速度を下げる

各車輪の速度のログ

走行体を後方へ倒して斜面での転倒を

防ぐ

斜面の傾きと転倒しない走行体傾斜角度の検証

結果

実現手段を検討

PDライントレース

コース形状に沿った走行軌跡の検証結果

E1

リタイアしない

外部要因を検討

光（明るさ）

リスク対策を検討

光の幅変化の影響を受けない

太陽光の影響を受けない

水銀灯の影響を受けない

バンド調整による輝度値の補正結果の検証結果

外乱光除去フィルタによる

軽減率の検証結果

ローパスフィルタによる軽減率の検証結果

摩擦

E7

電池残量

リスク対策を検討

摩擦によらず指定速度で走行できる

PI速度制御の検証結果

残量によらず指定速度で走行できる

リスク対策を検討

地区大会で新たに発見したリスク及び対策を追加

ガレージイン

リスク対策を検討

走行戦略：灰色マーカーからガレージまでの距離を指定して停車する(P4)

ガレージの入口を誤らない

壁に衝突しない

マーカーエッジチェンジによる灰色検知精度の検証結果

走行距離精度の検証結果

ルックアップゲート

走行戦略：走行体を倒して、ライントレースによりゲートをくぐる(P4)

傾斜時輝度補正の検証結果

リスク対策を検討

姿勢変更時に倒れない

緩やかな停車の検証結果

PID尻尾制御の検証結果

走行体角度を変更しても

ライントレースできる

E9

E10

エビデンスに マークが付加されているものは、この後のページでその証跡を示す。示す証跡は重要度を考慮して選択した。

E

※スペースの都合上、D-Caseは分割して掲載している。

E16

目標①：各コースともに25秒

目標②：難所すべてクリア

目標⑤：上流工程で不具合検出

目標⑥：工数削減

目標⑧：並行開発

目標③：リタイアせず完走

下位ゴールが満たされればその上位ゴールも満たされる

エビデンスによって上位ゴールを保証する

D-Case記述方法

名称 図形要素 説明

ゴール システムが達成すべき性質

ストラテジ 親ゴールを達成するアプローチの観点

コンテクスト ゴールやストラテジを議論する前提情報

エビデンス ゴールが成り立つことの証跡

P5P5

P5P2

P3

P3

P3

P3

P5 P5P4

P4 P5

P4P5P5

トップゴール

© 2013 Fuji Xerox Co., Ltd. All rights reserved.

伊東 敦 氏

(28)

© 2013 Dependable Embedded OS R&D Center

ETロボコンへの適用例

DENSO CREATE INC.

宇都宮 浩之氏

(29)

© 2013 Dependable Embedded OS R&D Center

非機能要求の定量評価指標のD-Caseによる保証

可用性を達成している

可用性特性で説明する

可用性の特性を達成している

特性指標について説明

特性指標を達成している

特性指標を達成している証拠

参考）非機能要求グレード

(30)

© 2013 Dependable Embedded OS R&D Center

テスト十分性に対するD-Case作成手順

要求仕様 要求記述表 要求逸脱分析表

結合テスト項目 正常系一覧

結合テスト項目 例外系一覧

テストD-Case

(31)

© 2013 Dependable Embedded OS R&D Center

テスト十分性確認 D-Case(一般形)

(32)

© 2013 Dependable Embedded OS R&D Center

今後の展開

(33)

© 2013 Dependable Embedded OS R&D Center

高信頼ADMの課題

ADMフェーズ Assured ADM

準備 ①アーキテクチャリポジトリでの証拠文書と保証ケースの格納 ②ディペンダビリティ委員会での主張間の優先順位の合意

A.アーキテクチャビジョン ①ディペンダビリティスコープ定義 ②主張の定量評価尺度定義 ③保証ケース能力評価 ④ディペンダビリティパラメタ定義

B.ビジネスアーキテクチャ ①ディペンダビリティ原則定義 ②BA保証ケース作成 ③BA保証ケースレビュ

C.情報システムアーキテクチャ ①IA保証ケース作成 ②IA保証ケースレビュ

D.技術アーキテクチャ ①TA保証ケース作成 ②TA保証ケースレビュ

E.ソリューション ①BA, IA, TA保証ケースを統合 ②一貫性を確認

F.移行計画 ①運用管理の保証ケース作成 ②ディペンダビリティパラメタ価値分析

G.実装監督 ①保証ケースの証拠を作成 ②プロセス保証ケースの証拠を作成 ③網羅的に主張と証拠の関係を確認 ④運用に対する保証ケースをレビュ

H.アーキテクチャ変更管理 ①運用保証ケースの証拠を管理 ②主張の不成立への対応策の確認③保証ケースによるリスク管理 ④保証ケースによる障害分析

要求管理 保証ケースの主張と要求の追跡管理

参考） The Open Group, Dependability through Assuredness ™ Standard, 2013

(34)

© 2013 Dependable Embedded OS R&D Center

d*フレームワーク

(35)

© 2013 Dependable Embedded OS R&D Center

組織構造の例

35

顧客 サービス提供者

コンポーネント 開発者

第三者 機関

安全な提供 コンポーネントの安全な開発

コンポーネント 安全性評価

サービスは安全である コンポーネントは安全である

安全評価は公正である

サービスで利用する コンポーネントは安全である

安全基準の下でコンポーネントは安全である

サービス 安全性評価

安全基準の下でサービスは安全である

サービスが安全に提供されている

(36)

© 2013 Dependable Embedded OS R&D Center

d*フレームワークによる組織間の責任関係

36

(37)

© 2013 Dependable Embedded OS R&D Center

D-Case部会の狙い

D-Case実証評価研究をD-Case部会として継続

D-Caseの教育

D-Case適用支援技術の研究・開発

D-Case統合環境の試行評価

37

ディペンダビリティ 技術推進協会

D-Case部会

ディペンダビリティ 技術推進協会 参加企業・法人

個人

D-Case技術

適用技術

導入上の課題解決

ニーズ，導入上の課題

有効性評価

© 2013 Dependable Embedded OS R&D Center

D-Caseの実証評価の取り組み

山本修一郎 DEOS Project, 名古屋大学